ESET吹的挺好，但下次不要吹了，你的行为分析好像也一般【DBI白皮书揭秘HIPS体系】

显示全部楼层 · 发表于 2024-12-30 22:47:17

Hibike 发表于 2024-12-30 22:45
那又是怎么得出上述结论的呢？

你想一想，DBI没有发现阻止恶意软件行为的时候，难道不是没本事发现恶意行为，然后依靠这种方法预防一些反沙盒样本吗？这话有问题？

显示全部楼层 · 发表于 2024-12-30 22:52:26

本帖最后由 Hibike 于 2024-12-30 22:53 编辑

驭龙发表于 2024-12-30 22:47
你想一想，DBI没有发现阻止恶意软件行为的时候，难道不是没本事发现恶意行为，然后依靠这种方法预防一些 ...

If malicious behavior is detected, DBI mitigates the activity and informs the user

恶意行为，白皮书中明确说了可以阻断的。如果发现不了，再去苛责DBI本来也不对吧？

所以我依然认为这段话只是在额外描述DBI的"非预期行为"——也就是会影响malware的运行——但是这种非预期行为也是有益的。并不意味着DBI的能力仅限于此。

显示全部楼层 · 发表于 2024-12-30 22:56:48

Hibike 发表于 2024-12-30 22:52
白皮书中明确说了可以阻断的。

我依然认为这段话只是在额外描述DBI的"非预期行为"——也就是会影 ...

你是不是没明白我说的意思？我不是说DBI没有行为分析阻止功能，而且帖子前半部分已经说的很清楚DBI是阻止威胁行为的

我后面的意思是这样的

一个恶意样本，隐藏了它的恶意行为，DBI没有监控到这个恶意进程的恶意行为，没有阻止恶意软件运行，在这种情况下算不算没本事发现恶意行为？然后我的意思就是在这种情况下让恶意软件以为是虚拟环境自动退出，也算得上是DBI的一种预防手段，这话有问题吗？

显示全部楼层 · 发表于 2024-12-30 23:06:56

驭龙发表于 2024-12-30 22:56
你是不是没明白我说的意思？我不是说DBI没有行为分析阻止功能，而且帖子前半部分已经说的很清楚DBI是阻止 ...

我的意思是，这就是ESET的一句找补，不能由此推断"没本事分析样本的恶意行为"或者"DBI没有监控到这个恶意进程的恶意行为"。

毕竟，在我的认知中，没本事分析=监控不到行为=没有对应的hook点/hook点被malware摘除了，而目前样本区测试观察到的和白皮书展示的，只能说"DBI检测率比较低"

而且我也不觉得这好笑。

显示全部楼层 · 发表于 2024-12-30 23:11:20

hansyu 发表于 2024-12-30 18:11
个人认为DBI罕见的原因可能还是行为特征太少，覆盖的威胁种类比较集中，并不像卡巴和BD那样广泛。

实际上确实如此，DBI有一点类似于蜘蛛的DPH，对特定类型的样本很有效果。

我下午测试的时候，使用Stealer类样本测试，可惜大部分stealer样本都入库了，唯一没入库的样本，直接BH杀了

显示全部楼层 · 发表于 2024-12-30 23:16:01

Hibike 发表于 2024-12-30 23:06
我的意思是，这就是ESET的一句找补，不能由此推断"没本事分析样本的恶意行为"或者"DBI没有监控到这个恶意 ...

那是你的看法

而我的看法就是这种曲线救国很有意思，很好笑，难道我阐述我的看法有问题吗？我又没有否认DBI的阻止恶意软件的功能

我就认为这种被动让样本自动退出的能力，好有趣，觉得好笑啊，你不能阻止我有这种想法吧，而且我也没有说ESET没有行为分析，不存在技术上的错误，只是看法不同，不是么？

显示全部楼层 · 发表于 2024-12-30 23:16:06

eset虽菜，但是dbi面对银狐我是见过发威的

反光红伞，面对银狐，哨兵=烧饼，APC=ABC

显示全部楼层 · 发表于 2024-12-30 23:19:16

驭龙发表于 2024-12-30 23:16
那是你的看法

而我的看法就是这种曲线救国很有意思，很好笑，难道我阐述我的看法有问题吗？我又没有否 ...

那确实是理解不同了。我甚至不觉得这是曲线救国，毕竟，检测Anti-VM和检测dSyscall都属于同样的"因为这种行为非常罕见所以直接判为恶意也不会出什么问题"。

包括我前面举HMPA的例子也是为了说明，这种做法是有先例的，并且经过验证是行之有效的——只不过ESET只做了HMPA里类似的被动模式，而没有做主动模式而已。

显示全部楼层 · 发表于 2024-12-30 23:21:07

仔细看了一下图，怎么感觉有种拿用户电脑当行为分析沙盒的感觉

个人有一个不理解的点，如果要用伪造虚拟环境的方法欺骗程序自动退出，不如直接把所有在虚拟机或沙盒里无动作自退的文件报毒，反正就算是合法文件，根据图中流程，只要livegrid无信誉就会触发这一步（就和楼上说的因为这种行为非常罕见所以直接判为恶意也不会出什么问题一样，但是不知道算不算行之有效）

楼上说的1楼的没本事这类言论，个人确实觉得有点别扭了，但是不管怎么说，eset的hips存在感确实太低，确实需要改进了。

显示全部楼层 · 发表于 2024-12-30 23:23:08

驭龙发表于 2024-12-30 23:11
实际上确实如此，DBI有一点类似于蜘蛛的DPH，对特定类型的样本很有效果。

我下午测试的时候，使用Stea ...

从你的测试结果以及DBI的平常表现，基本可以证明ESET的各种防护层都是着眼于应对已知威胁及其变种。对全新没有加入特征的威胁表现不太行。

[分享] ESET吹的挺好，但下次不要吹了，你的行为分析好像也一般【DBI白皮书揭秘HIPS体系】

本帖子中包含更多资源

评分